Difference between revisions of "Spain/Agenda Chapter Meeting"

Michael Hidalgo Fallas.
Director of Advanced Technologies. invinsec
NodeJS es un lenguaje de programación relativamente nuevo ya que su creación se remonta al año 2009 y se basa en el entorno de ejecución de JavaScript de Google Chrome. Desde el punto de vista de arquitectura, su diseño propone un modelo basado en la eficiencia donde se toman en consideración aspectos como JavaScript del lado del servidor (server-side), Asíncrono y basado en eventos entre otros.
NodeJS ha sido adoptado por gigantes de la tecnología 1 tales como Microsoft, IBM, PayPal, Netflix, Cisco, Uber, Capital One entre otros. A pesar de ser un lenguaje de programación que sigue un modelo diferente, malas prácticas, errores en el momento de desarrollar la aplicación y dependencia en librerías vulnerables de terceros conllevan a exponer vulnerabilidades comunes entre las que se enumeran los fallos en el manejo de sesiones, fallos en los procesos de autenticación y autorización, fuga de información, inyección de comandos entre otros.
En esta presentación se mostrará cómo se pueden explotar vulnerabilidades comunes y no tan comunes en aplicaciones desarrolladas bajo este paradigma, de forma tal que la audiencia pueda tener más visibilidad sobre los riesgos que existen y se puedan desarrollar mejores prácticas.

Responsable del Área de Auditoría. SVT Cloud Security Services
En la actualidad no está muy clara cuál es la metodología a adoptar para evaluar la seguridad de dispositivos IoT, y en la mayoría de los casos se basa en buscar cámaras IP en Shodan o capturar y analizar el tráfico de red generado por uno de estos dispositivos. Estas actuaciones son sólo una mínima parte de todos los escenarios posibles a la hora de “atacar” un dispositivo del Internet of Things. OWASP, al igual que lo hace con entornos de aplicaciones web o móviles, tiene su propio proyecto para Internet of Things. Esta charla tiene como objetivo acercar este proyecto a los asistentes para hacerles ver que existe un proyecto serio para la evaluación de seguridad de estos dispositivos y mostrar cuál es la superficie de ataque real de un dispositivo IoT, más allá de Shodan o la captura de tráfico.

Xavier Panadero Lleonart. @xpanadero
Director SOC/CERT – CESICAT. CESICAT

Roberto Velasco Sarasola. @hdivroberto
CEO. Hdiv Security
Los problemas de seguridad a nivel aplicación podemos organizarnos en 2 tipos de problemas: security bugs o bugs de sintaxis y Business Logic Flaws, conocidos también como Design Flaws. El primer tipo de riesgo, que incluye entre otros 2 de los problemas más conocidos como Sql injection o XSS, está basado en bugs de programación que afortunadamente pueden ser detectados mediante herramientas AST (Application Security Testing) de forma automática reportando el fichero y la línea del problema. A pesar de esta ventaja, el resto de los problemas que podemos englobar dentro de la categoría de Business Logic Flaws que representan aproximadamente el otro 50% del problema, no pueden ser detectados por las soluciones AST.

Los problemas de seguridad de tipo Business Logic Flaws son problemas relacionados con el dominio de la aplicación que actualmente son detectados mediante procesos de pen-testing de forma manual y su resolución en muchos casos implica un rediseño completo de las aplicaciones. El objetivo de este charla es la presentación de un enfoque de protección de los business logic flaws integrado dentro del SDLC, junto con mecanismos para la automatización del proceso de pen-testing de este tipo de riesgos. Siguiendo un enfoque práctico, dentro de la charla haremos uso de aplicaciones de referencia dentro del ecosistema de Spring como PetClinic (Spring MVC y REST) y haremos uso de herramientas de auditoría como Burp Suite.

Christian Martorella. @laramies
Product Security Engineering Lead. Skyscanner
In this presentation I will show people how they can build a vulnerability management security dashboard with metrics that will let you track the progress of your teams and share with the rest of company in order to support decision making.
The dashboard will provide visibility on areas that before people was blind and unable to provide answer to the business. The presentation will focus in using Jupyter notebooks, Pandas and Matploitlib.
The presentation will first cover how to prepare your environment to allow the automation independently of the ticketing system you use (Jira, Visual Studio Online, etc.), we are going to define a vulnerability category and sources system based on labels/tags, and agree on other areas like risk level. Once we show how to get the raw data, we will start leveraging the power of Jupyter, Pandas and Matploitlib to create metrics and start making sense of the data we have.
We are going to cover what stats and metrics are important and useful to support decision making: Average time to fix a bug, Average lifetime of a bug, Vulnerability distribution per categories, Overdue items based on SLA, Top teams with vulnerabilities, Fastest/slowest teams to fix issues, Distribution of vulns. per teams, and many more. Finally we are going to show how can you create some benchmarks against the industry.
You are going to get from 0 or limited data due the tooling you have to a hero of the dashboards and data driven decision making.

El objetivo de esta conferencia es dar a conocer las causas que han motivado que el programa de mensajería instantánea Telegram, se haya convertido en la actualidad en la principal plataforma de difusión de contenido de carácter yihadista.
Durante la presentación, se explicará cómo funciona Telegram, qué elementos son los que hacen que sea tan atractiva para el CiberCalifato y cómo la utilizan.

Luis Enrique Benítez.
IT Security Analyst. Internet Security Auditors
Conceptos como Internet of Things o Smart Cities se volverán cada vez más cotidianos en nuestro lenguaje, los fabricantes de dispositivos han iniciado una carrera frenética por incorporar en el mercado productos conectados a internet. En este último par de años ha dejador de ser exótico para volverse común el disponer de un Smart TV, un Smart Watch, SmartBand, el coche conectado, poder controlar la temperatura de nuestro hogar desde el móvil, por no hablar de Neveras, lavadoras, juguetes infantiles, cepillos eléctricos, y juguetes para adultos entre otras cosas y no siempre han tomado en consideración la seguridad de sus dispositivos, sus actualizaciones o parches frente a posibles vulnerabilidades, así como la privacidad del consumidor.

En esta conferencia se darán a conocer los resultados de las auditorias efectuadas a estos dispositivos y sus plataformas, como establecer un laboratorio de pruebas cuando no es posible acceder a las configuraciones de conexión, así como las experiencias y tendencias del sector.

Luis Alberto Solís.
Consultor. Infosegura
En la presente ponencia, se dará a conocer las experiencias obtenidas del trabajo y diferentes tipos de errores que comenten en el desarrollo de aplicaciones móviles bancarias. Se explicará como siguiendo la metodología OWASP Mobile Application Security Verification Standard se puede encontrar muchas vulnerabilidades en aps que manejan información altamente sensible de usuarios de la banca. Durante la presentación se mostrará ejemplos de la vida real con la respectiva reserva del caso, de aplicaciones que estaban expuestas a disitintos tipos de ataques. Así mismo, de la experiencia se indicará el uso de herramientas usadas para el pentesting y la ingeniería inversa aplicada, y como hacer hooking de apks.
Finalmente se dará a conocer las técnicas usadas para realizar forense de aplicaciones móviles mediante ELK-Stack, que facilita el análisis del código reverseado gracias a la indexación de información y se mostrará como se puede aplicar el machine learning para el aprendizaje de nuevos patrones de comportamiento y detectar anomalías en el menor tiempo posible.